Então odocumentaçãopara a criação de gMSAs diz que o parâmetro "-PrincipalsAllowedToRetrieveManagedPassword" deve restringir a capacidade de uso do gMSA às máquinas que fazem parte dos grupos de segurança indicados no parâmetro. Por exemplo
New-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts
deveria, pelo que entendi, permitir que apenas as máquinas que fazem parte do grupo de segurança "gMSA-dev-service-allowed-hosts" acessem a senha da conta dev-service, limitando assim as máquinas que podem usar a conta.
Meu problema é que não consigo fazer funcionar dessa maneira. Mesmo em uma máquina que não seja membro de "gMSA-dev-service-allowed-hosts", a conta pode ser usada sem problemas.
Eu entendi mal o significado de -PrincipalsAllowedToRetrieveManagedPassword ?
Obrigado
Melhor,
DSA
Responder1
Definir -PrincipalsAllowedToRetrieveManagedPassword restringe o uso de Install-ADServiceAccount, que é outra etapa que deve acontecer antes que você possa usar o gMSA. Depois que o gMSA estiver instalado, o serviço será iniciado independentemente da configuração PrincipalsAllowedaté que a senha gerenciada seja alterada.
Qualquer computador que use o gMSA que não esteja incluído nas entidades PrincipalsAllowed não poderá alterar a senha gerenciada nem recuperar uma senha gerenciada do domínio após ela ter sido alterada. Se a senha gerenciada gMSA tiver sido alterada por um computador que tenha privilégios para fazer isso, isso causará falhas de logon em serviços executados em computadores que não estão nas entidades PrincipalsAllowed.
Você deve garantir que todos os computadores que executam serviços usando um gMSA específico estejam incluídos nas entidades PrincipalsAllowed desse gMSA ouvaicausar problemas ao iniciar/reiniciar serviços no futuro (um mês depois, já que as alterações de senha gerenciadas padrão estão agendadas para 30 dias).
https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx
Notas Para instalar com êxito uma conta de serviço gerenciado, a conta de serviço deve ter a opção de parâmetro PrincipalsAllowedToRetrieveManagedPassword definida primeiro usando o cmdlet New-ADServiceAccount ou Set-ADServiceAccount primeiro. Caso contrário, a instalação falhará.
Por exemplo
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
O último comando agora será bem-sucedido. Depois de configurar as credenciais do serviço, o serviço será iniciado.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Agora, reiniciar o serviço ainda funcionará. No entanto, se você executar um Uninstall-ADServiceAccounte tentar reinstalá-lo, receberá o mesmo erro mostrado acima.
O início do serviço também falhará com uma falha de logon se a senha tiver sido alterada pelo APPSERVER2 nesse meio tempo.
Responder2
Certifique-se de examinar a saída do seguinte:
Test-ADServiceAccount dev-service